安全合规--48--基于国内法律法规的企业数据合规体系建设经验总结（七）

阅读量：2035 次

发布时间：2019-04-28

本文共 3067 字，大约阅读时间需要 10 分钟。

本篇介绍：个人信息保护组织管理要求

本篇为第7篇/共9篇

引子

在离开前公司之后（2020.06），我来到新的公司担任安全部负责人，负责新公司的安全架构设计与安全体系建设，由于新公司的业务都是面向国内的，因此在建设隐私合规体系时，参照的都是国内的法律法规标准。本系列即以国内法律法规为基准，抛砖引玉，来探讨纯国内业务企业的隐私合规体系建设。

前言

如果数据合规具体到个人信息保护，要想有序开展个人信息保护工作，对个人信息保护的组织管理就必不可少。接下来，我将从个人信息保护责任部门与人员、个人信息保护处理活动记录、员工个人信息保护管理与培训、个人信息安全影响评估、个人信息安全审计等五方面来探讨个人信息保护组织的管理要求。

一、个人信息保护责任部门与人员

在实践中，公司应明确其法定代表人或公司主要负责人对个人信息安全负全面领导责任，包括为个人信息安全工作提供人力、财力、物力保障等。其目的在于引起公司高层管理的足够重视，只有这样，才能更好的提升个人信息安全在整个组织运营中的重视程度。

同时，公司应任命个人信息保护负责人或个人信息保护机构，一般就是安全部门，也可以是其他部门兼职，对于集团公司模式下，也可以全集团只任命一个个人信息保护负责人或个人信息保护机构，以统筹负责全集团的个人信息保护。

个人信息保护负责人或个人信息保护机构的工作职责一般包括：

1、全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任；

2、组织制定个人信息保护工作计划并督促落实；

3、制定、签发、实施、定期更新隐私政策和相关规程；

4、建立、维护、更新组织所持有的个人信息清单和授权访问策略；

5、开展个人信息安全影响评估，提出个人信息保护的对策建议，督促整改安全隐患；

6、组织开展个人信息安全培训；

7、产品或服务上线前进行检测，避免未知的个人信息收集、使用、共享等处理行为；

8、公布投诉、举报方式等信息并及时受理投诉举报；

9、进行安全审计；

10、与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况。

二、个人信息保护处理活动记录

在实践中，应建立、维护和更新所收集、使用的个人信息处理活动记录，记录内容可包括：

1、所涉及个人信息的类型、数量、来源（直接收集或间接获取）；

2、根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况；

3、与个人信息处理活动各环节相关的信息系统、组织或人员。

这里的数据处理活动记录，强调的是个人信息全生命周期的活动记录，确保个人信息全生命周期的活动均可有效追溯，有助于内部核查的有效开展，有助于在出现数据危机时快速追溯源头、精准问责。

三、员工个人信息保护管理与培训

在实践中，对员工个人信息保护管理可以从以下三方面开展：

1、所有员工在入职时应签订保密协议，并对核心员工进行背景审查；

2、公司应要求员工在调离岗位或终止劳动合同时，继续履行保密义务；

3、公司应明确内部涉及个人信息处理不同岗位的安全职责，建立发生安全事件的处罚机制。

对于第三条，不同岗位的安全职责应当越细化、越具体越好，这样有助于每个员工清晰的了解自己应该做什么，也有助于在出现安全事件的时候准确的归责。建立安全事件的处罚机制，有助于加强对员工的警示和教育作用，也能够在安全事件发生后更好的进行总结、追责和处罚。

对于员工个人信息保护培训，可以从以下两方面开展：

1、可以定期组织面向全员的培训，定期一般是半年一次或一年一次。需要注意的是，全员陪许不应该仅限于基层员工，应该是包含高层在内的全体员工；

2、新员工入职培训时，可以将个人信息保护作为培训内容之一。

四、个人信息安全影响评估

在实践中，公司可以建立个人信息安全影响评估制度，明确个人信息安全影响评估责任主体、评估启动条件、评估依据、评估对象、评估范围、评估流程、评估后续动作等内容，个人信息安全影响评估制度是个人信息安全影响评估工作得以有序开展的基础。

同时，个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估，明确个人信息保护边界，并根据评估结果实施适当的安全控制措施，以降低收集和处理个人信息的过程中对个人信息主体权益造成的影响。

通常情况下，个人信息安全评估内容一般包括：

1、个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则；

2、个人信息处理是否可能对个人信息主体合法权益造成不利影响，包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等；

3、个人信息安全措施的有效性；

4、匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险；

5、共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响；

6、发生安全事件时，对个人信息主体合法权益可能产生的不利影响。

进行风险分析时，首先，应根据个人信息处理活动的目的、状态、相关个人信息的敏感程度，同时考虑个人信息主体数量、全体特征等要求，评价对个人权益影响的程度等级。其次，应根据个人信息处理活动涉及的特点、已实施的安全措施、相关方、处理规模等要素，同时考虑具备的事件处置经验、用户习惯及预防性措施等，评价安全事件发生的可能性等级。最后，综合分析个人权益影响程度和安全事件可能性两个要素，得出风险等级。

那么，哪些情形下需要进行个人信息安全影响评估呢？

在实践中，需要进行个人信息安全影响评估的情形一般有以下：

1、在产品或服务发布前、或功能发生重大变化时；

2、在法律法规有新要求时，或在业务模式、信息系统、运行环境发生重大变更时；

3、发生重大个人信息安全事件时；

4、个人信息出境前；

5、个人信息处理目的变更前；

6、个人信息委托处理、转让、共享或公开披露前或范围发生变化时；

7、个人信息匿名化和去标识化时；

8、对去标识化的数据重新标识化使用时；

9、通过购买、从合作伙伴获得方式收集、使用个人信息时；

10、对政府、监管部门、司法部门提供个人信息前。

最后，评估完成后应当出具评估报告。

评估报告的内容一般包括：个人信息保护专员的审批页面，评估报告适用范围，实施评估及撰写报告的人员信息，参考的法律、法规和标准，个人信息影响评估对象，评估内容，涉及的相关方等，以及个人权益影响分析结果、安全保护措施分析结果、安全事件发生的可能性分析结果、风险判定的准则、合规性分析结果、风险分析过程及结果，风险处置建议等。

在出具评估报告后，公司应根据评估结果，选取并实施相应的安全控制措施进行风险处置。通常情况下，严重风险应立即处置，高风险应限期内处置，中风险应在权衡影响和成本后处置，低风险选择可接受。同时，应持续跟踪风险处置的落实情况，评估剩余风险，将风险控制在可接受范围内。